Las siguientes prácticas recomendadas pueden ser útiles cuando se planifica y configura Cloud VPN.
Usa proyectos de Google Cloud separados para los recursos de herramientas de redes
Para facilitar la configuración de las funciones y los permisos de administración de identidades y accesos (IAM), mantén tus recursos de Cloud VPN y Cloud Router en un proyecto separado de tus otros recursos de Google Cloud, siempre que sea posible.
Enrutamiento y conmutación por error
Elige enrutamiento dinámico
Elige una puerta de enlace de Cloud VPN que use enrutamiento dinámico y el Protocolo de puerta de enlace fronteriza (BGP). Google recomienda usar VPN con alta disponibilidad y, luego, implementar dispositivos locales compatibles con BGP.
Usa VPN con alta disponibilidad siempre que sea posible
Para lograr el nivel más alto de disponibilidad, usa VPN con alta disponibilidad siempre que sea posible.
Para obtener más información, consulta los tipos de VPN en la descripción general de Cloud VPN.
Elige la configuración del túnel adecuada
Elige la configuración de túnel adecuada en función de la cantidad de puertas de enlace de VPN con alta disponibilidad:
Si tienes una sola puerta de enlace de VPN con alta disponibilidad, usa una configuración de túnel activa/pasiva.
Si tienes más de una puerta de enlace de VPN con alta disponibilidad, usa una configuración de túnel activa/activa.
Para obtener más información, consulta las siguientes secciones en la descripción general de Cloud VPN:
- Opciones de enrutamiento activo/activo y activo/pasivo para VPN con alta disponibilidad
- Opción de enrutamiento recomendada
Confiabilidad
Configura la puerta de enlace de VPN de intercambio de tráfico con solo un algoritmo de cifrado para cada función de algoritmo de cifrado
Cloud VPN puede actuar como iniciador o como respuesta a las solicitudes de IKE, según el origen del tráfico cuando se necesita una nueva asociación de seguridad (SA).
Cuando Cloud VPN inicia una conexión de VPN, Cloud VPN propone los algoritmos en el orden que se muestra en las tablas de cifrado compatibles para cada rol de cifrado. El lado que recibe la propuesta selecciona un algoritmo.
Si el lado del intercambio de tráfico inicia la conexión, Cloud VPN selecciona un cifrado de la propuesta mediante el mismo orden que se muestra en la tabla para cada rol de cifrado.
Según qué lado sea el iniciador o la respuesta, el cifrado seleccionado puede ser diferente. Por ejemplo, el algoritmo de cifrado seleccionado puede cambiar con el tiempo a medida que se crean nuevas asociaciones de seguridad (SA) durante la rotación de claves. Debido a que un cambio en la selección de cifrado puede afectar las características importantes del túnel, como el rendimiento o la MTU, asegúrate de que la selección de cifrado sea estable.
A fin de evitar cambios frecuentes en la selección de cifrado, configura la puerta de enlace de VPN de intercambio de tráfico para proponer y aceptar solo un cifrado para cada rol de cifrado. Este algoritmo de cifrado debe ser compatible con Cloud VPN y tu puerta de enlace de VPN de intercambio de tráfico. No proporciones una lista de cifrados para cada función de cifrado. Esta práctica recomendada garantiza que ambos lados de tu túnel de Cloud VPN siempre seleccionen el mismo cifrado de IKE durante la negociación de IKE.
Para los pares de túneles VPN con alta disponibilidad, configura ambos túneles VPN con alta disponibilidad en tu puerta de enlace de VPN de intercambio de tráfico a fin de usar los mismos valores de cifrado y de ciclo de vida de la fase 2 de IKE.
Seguridad
Configura reglas de firewall para las puertas de enlace de VPN
Crea reglas de firewall seguras para el tráfico que viaja a través de Cloud VPN. Para obtener más información, consulta la Descripción general de las reglas de firewall de VPC.
Usa claves precompartidas seguras
Google recomienda generar una clave segura precompartida para los túneles de Cloud VPN.
Restringe direcciones IP para puertas de enlace de VPN de intercambio de tráfico
Si restringes las direcciones IP que se pueden especificar para una puerta de enlace de VPN de intercambio de tráfico, puedes evitar que se creen túneles VPN no autorizados.
Si deseas obtener más información, consulta Restringe las direcciones IP para las puertas de enlace de VPN de intercambio de tráfico.
Configura el algoritmo de cifrado más sólido en tu puerta de enlace de VPN de intercambio de tráfico
Cuando configures tu puerta de enlace de VPN de intercambio de tráfico, elige el algoritmo de cifrado más sólido para cada rol de cifrado que admita tu puerta de enlace de VPN de intercambio de tráfico y Cloud VPN.
El orden de propuesta propuesto para Cloud VPN no se ordena según su fuerza.
Para obtener una lista de cifrados de IKE admitidos, consulta Algoritmos de cifrado IKE admitidos.
¿Qué sigue?
- Para usar situaciones de alta disponibilidad y alta capacidad de procesamiento o situaciones de varias subredes, consulta Configuración avanzada.
- Para ayudarte a resolver problemas comunes que podrías encontrar cuando uses Cloud Interconnect, consulta Solución de problemas.